Чак и замена чврстог диска неће уклонити овај злонамерни софтвер
Кључне Такеаваис
- Истраживачи безбедности су открили јединствени малвер који инфицира флеш меморију на матичној плочи.
- Малвер је тешко уклонити, а истраживачи још увек не разумеју како уопште доспева у рачунар.
- Бооткит малвер ће наставити да се развија, упозоравају истраживачи.
Џон Цезар Панело / Гетти Имагес
За дезинфекцију рачунара потребно је да се уради такав какав јесте. Нови злонамерни софтвер чини задатак још гломазнијим пошто су га истраживачи безбедности открили се толико дубоко уграђује у рачунар да ћете вероватно морати да баците матичну плочу да бисте се отарасили од тога.
Синхронизовано МоонБоунце од стране безбедносних истражитеља компаније Касперски који су га открили, малвер, технички назван бооткит, пролази изван чврстог диска и зарива се у покретању рачунара са Унифиед Ектенсибле Фирмваре Интерфаце (УЕФИ) фирмвер.
„Напад је веома софистициран“, Томер Бар, директор безбедносних истраживања у СафеБреацх, рекао је за Лифевире преко е-поште. „Када је жртва заражена, она је веома упорна јер чак ни формат чврстог диска неће помоћи.“
Новел Тхреат
Бооткит малвер је редак, али не и потпуно нов, јер је сам Касперски открио још два у последњих неколико година. Међутим, оно што МоонБоунце чини јединственим је то што инфицира флеш меморију која се налази на матичној плочи, чинећи је непропусном за антивирусни софтвер и сва друга уобичајена средства за уклањање малвера.
У ствари, истраживачи компаније Касперски примећују да корисници могу поново да инсталирају оперативни систем и замене чврсти диск, али ће бооткит и даље остати укључен заражени рачунар све док корисници или поново не флешују заражену флеш меморију, што описују као „веома сложен процес“, или замене матичну плочу у потпуности.
Манфред Руц / Гетти Имагес
Оно што малвер чини још опаснијим, додао је Бар, јесте то што је малвер без фајлова, што значи да се не ослања на датотеке да антивирусни програми могу да обележе и не остављају очигледан отисак на зараженом рачунару, што веома отежава траг.
На основу њихове анализе малвера, истраживачи компаније Касперски примећују да је МоонБоунце први корак у вишестепеном нападу. Глумци који стоје иза МоонБоунце-а користе злонамерни софтвер да успоставе упориште у жртви рачунара, за који они схватају да се онда може користити за постављање додатних претњи за крађу података или распоређивање рансомваре.
Међутим, спас је у томе што су истраживачи до сада пронашли само један пример злонамерног софтвера. „Међутим, то је веома софистициран скуп кода, што је забрињавајуће; ако ништа друго, то најављује вероватноћу другог, напредног малвера у будућности“, Тим Хелминг, јеванђелиста безбедности с ДомаинТоолс, упозорио је Лифевире преко е-поште.
Тхересе Сцхацхнер, консултант за сајбер безбедност у ВПНБраинс пристао. „Пошто је МоонБоунце посебно прикривен, могуће је да постоје додатни примери МоонБоунце напада који још увек нису откривени.
Инокулирајте свој рачунар
Истраживачи напомињу да је малвер откривен само зато што су нападачи направили грешку у коришћењу исти комуникациони сервери (технички познати као командни и контролни сервери) као други познати злонамерних програма.
Међутим, Хелминг је додао да пошто није јасно како се почетна инфекција одвија, практично је немогуће дати врло конкретна упутства о томе како избећи заразу. Међутим, праћење добро прихваћених безбедносних пракси је добар почетак.
„Док сам малвер напредује, основна понашања која би просечни корисник требало да избегава да би се заштитила нису се заиста променила. Одржавање софтвера ажурним, посебно безбедносног софтвера, важно је. Избегавање кликања на сумњиве везе остаје добра стратегија“, Тим Ерлин, потпредседник стратегије при Трипвире, предложио је Лифевире-у путем е-поште.
"... могуће је да постоје додатни случајеви МоонБоунце напада који још нису откривени."
Додајући овом предлогу, Степхен Гатес, јеванђелиста безбедности на Цхецкмарк, рекао је за Лифевире преко е-поште да просечан корисник десктоп рачунара мора да превазиђе традиционалне антивирусне алате, који не могу да спрече нападе без датотека, као што је МоонБоунце.
„Тражите алате који могу да искористе контролу скрипта и заштиту меморије и покушајте да користите апликације из организација који користе сигурне, модерне методологије развоја апликација, од дна групе до врха“, Гејтс предложио.
Олемедиа / Гетти Имагес
Бар се, пак, залагао за употребу технологија, као нпр СецуреБоот и ТПМ, да бисте проверили да фирмвер за покретање није модификован као ефикасна техника ублажавања против малвера за покретање покрета.
Сцхацхнер је, на сличан начин, предложио да ће инсталирање ажурирања УЕФИ фирмвера чим буду пуштене помоћи корисници уграђују безбедносне исправке које боље штите њихове рачунаре од нових претњи као што су МоонБоунце.
Штавише, она је такође препоручила коришћење безбедносних платформи које укључују детекцију претњи фирмвера. „Ова безбедносна решења омогућавају корисницима да буду обавештени о потенцијалним претњама фирмвера у најкраћем могућем року, тако да се могу благовремено решити пре него што претње ескалирају.